iOS/iPhone/macOS/andere: Werbeblocker, Tracker und alles was sonst so Mist ist…

In unserer Ortsgruppe Hamburg von digitalcourage geht es oft um soziale und politische Dinge des digitalen Lebens/Zeitalters und wie man damit umgeht. Ich zähle eher zu den Nerds, da ich den Menschen Techniken mitgeben möchte, wie man sich „frei“ bewegen oder entscheiden kann etwas zu tun oder eben nicht, unbeeinflusst von Megakonzernen, wie Meta, Google, Microsoft, …

Apple ist anders

Ich zähle Apple in der Regel NICHT zu den besonders bösen Konzernen (achtet mal darauf, welche Devices Eure Security Expert.innen einsetzen…und welche sie bei Demos immer als erstes hacken….), da ich selbst seit vielen Jahrzehnten Apple (vorher NeXT) benutze und seitdem ich dort Kunde bin, kann ich behaupten, dass sie meine Daten bisher nicht gegen mich verwendet haben. Vielmehr glaube ich nach wie vor, dass Apple versucht Menschen digitale Dinge zugänglich zu machen. In Sachen…

… Barrierefreiheit mal die fragen, die diese nutzen – ich kenne viele, die nichts anderes benutzen wollen.
… Einfachheit und Unkompliziertheit (Nutzbarkeit) ist Apple seit je her führend. Die Nerds finden es aber eher „bevormundend“, dass Apple manches eben nicht öffnet. Das neueste Update von iOS und macOS trifft auch nicht meinen Geschmack, aber das von Windows ist um Längen schlimmer 🙂
Privatsphäre kämpft Apple oft gegen die US-Mentalität „was können meine Daten schon verraten?“ [Spiegel, 2013] oder „wenn es hilft ‚die Bösen‘ zu finden, gebt ihnen alles!“ – ja, es ist auch eine Marketing-Strategie, aber sie bieten im Rahmen ihrer Möglichkeiten einen guten Anfang was Privatsphäre und Sicherheit angeht, wenn man sich die letzten Aktualisierungen des Browsers oder der Betriebsysteme (iOS, macOS) einmal ansieht. Das nervt Nerds eher als das wir es begrüssen…

…aber nicht [immer ] besser [geschützt]

Trotzdem hat eben Apple auch so seine Probleme die Standard-Ausspioniererei zu verhindern. Vieles geht, aber eben nicht alles. Der Grund ist eben, dass viele Internet-Standards auf Vertrauen basierten, aber die digitale Welt eben seltener ein vertrauensvoller Ort geworden ist.

Wie kann man der Tracking-Hölle auf einem iPhone entkommen?

Es gibt eine kleine Anwendung, die auch open-source ist, namens Lockdown (GitHub) (Webseite). Die Mac-Anwendung ist nicht im deutschen AppStore erhältlich, aber die iOS-Variante. Man muss NICHT dafür BEZAHLEN, sondern kann auch den Free-Modus benutzen, der 1x pro Monat einen bittet, die Tracking-Liste aktualisieren zu lassen. Das wars. Das Ding wird als VPN-Verbindung eingebunden und man sieht viele „Advertisements“ nicht mehr und auch unangenehme „Telefoniere-nach-Hause“-Anfragen werden so nicht erfüllt.

Es gibt auch eine Privatsphären-Liste, die aber m.W. nicht ständig aktualisiert wird, wo u.a. auch mal die Tracker alle so aufgelistet werden. Telegram und Signal haben dort das Ranking A – letzteres ist auch eine Empfehlung, die wir immer wieder anstatt WhatsApp aussprechen!

Welches VPN kann man auf macOS, Linux, Windows, Android, … gut benutzen?

Ich benutze seit Jahren AirVPN für wenige €/Monat. Man kann von wenigen Tagen bis 3 Jahren alles wählen und vor allem mit allem bezahlen. Crypto, Paypal und alles so was.

Warum benutze ich genau das?

– AirVPN entwickelt und veröffentlicht nur freie und quelloffene Software. Meiner Meinung nach ist dies in diesem Bereich unerlässlich.
– sie betreiben und unterstützen viele Tor-Knoten, einschließlich Tor-Exit-Knoten
– sie unterstützten WikiLeaks auch während der von den Behörden der USA/Großbritanniens/Schwedens geplanten „Verleumdungs“- und „Rufmord“-Kampagnen
– sie unterstützen das Xnet-Projekt, das darauf abzielt, europäischen Schulen datenschutzbewusste, freie und quelloffene Alternativen zu den Online-Diensten von Google und Microsoft anzubieten
– sie waren und sind frühe Unterstützer von PeerTube und Mastodon
– sie bezahlen nicht für Bewertungen und sie zahlen keine Lösegelder, um negative Kommentare/Bewertungen zu verbessern“ (Quelle: Reddit)

Ich teile die Kritikpunkte des Autors/./rin nicht alle, da ich nicht den AirVPN Client nutze, sondern über Viscosity von Sparklabs auf dem Mac und openVPN unter iOS die volle Kontrolle selbst habe. Jede.r wie sie/./er es mag.

Was nutze ich als Bollwerk unter macOS noch?

Es gibt die Objective-Sea-Foundation von Patrick Wardle (Anspielung auf ObjectiveC, der Ur-Programmiersprache von NeXT). Patrick ist ein ehemaliger Mitarbeiter der NSA <grins> und bietet open source Software und auch eine Vielzahl von Informationen zu Sicherheit/Privatsphäre auf Mac-Systemen. U.a. wenn man sich da reinfrickeln will, sind Lulu (eine WebApplicationFirewall, WAF), Ransomwhere? und BlockBlock zu empfehlen. Letzteres wacht darüber, ob hier unaufgefordert Sachen gestartet werden, sich in irgendetwas eintragen wollen oder jemand hier was verschlüsseln will.

Es gibt auch eine Buchreihe auf englisch, wenn einer als Nerd durchstarten möchte: The Art of Mac Malware – 1. Ausgabe erklärt deren Analyse, die 2. Ausgabe wie man so etwas erkennen kann. Ist echt hartes Zeuchs, aber eben spannend.

WAF kommerziell für Genießer.innen

Ich persönlich nutze eine kommerzielle Software als WAF, die aus Österreich kommt und LttleSnitch heißt. Die Alpenshieter sind echt gut!

Quelle: https://www.obdev.at/products/littlesnitch/index.html

Der Netzwerkomitor ist echt super, um zu sehen, wohin die Maschine sich gerade verbindet und welche Anwendung das macht: Ist nicht billig (59€, Stand: 13. November 2025), aber geil.

Installierst Du was Neues, werden erst einmal die Fragen gestellt, ob die Anwendung sich an all die Stellen verbinden darf… wenn nicht, schaltet man es ab 🙂

IPS und DNS-Filter

Zudem habe ich ein IPS (Intrusion Prevention System) auf einer Appliance, wie auch einen DNS-Filter auf einem Raspberry Pi namens Pi-Hole, welches sehr weit verbreitet ist und als „Werbeblocker“ im Heim-Netz angesehen werden kann. Wir filtern hier als 2-3köpfige Familie bis zu 21% unserer DNS-Anfragen heraus und senden die nicht zu Profilingzwecken an die Anbieter! Alles was über Instagram & Co. reinkommt ist echt Schmutz.

Zudem empfehle ich immer TOR (für: Darknet, Onion) als Browser oder Brave (für: Clearnet/Internet via VPN), da letztere sehr gute Privatsphären-Einstellungen hat und Ersterer allgemein bekannt sein dürfte, wobei man dadurch nicht anonym surft, auch wenn das immer so verstanden wird. Man ist aber besser geschützt als würde man denen, die es nicht haben sollen, die IP-Adressen und was man sich so ansieht direkt in den Hals schmeißt.

DNS – besser zensurfrei

Nebenbei sei erwähnt, das die Domain Name Server (DNS – die aus Namen die IP-Adressen wandeln, die das Internet eigentlich braucht,), auch zensiert/verhindert (!) werden, tracken könn(t)en etc.

Daher besser einen zensurfreien DNS auch in seine Fritz!Box oder einem anderen Verbindungsgerät mit dem Internet einstellen.

Thunderbird und die Apple-Welt

Ich hatte lange Zeit Apples Mail.app verwendet, da es die ursprüngliche Anwendung von NeXT ist. Leider macht die Anwendung manchmal zicken und Sonderwünsche sind meistens Hacks, die bei jedem Update neu ausbaldovert werden müssen.

Seit einiger Zeit benutze ich wieder Thunderbird, da der mir zu Sun Microsystems-Zeiten sehr gute Dienste geleistet hat und auch bei Analyseaufgaben immer mal wieder zurate gezogen wurde.

Mail.app starte ich schon seit einem viertel Jahr nicht mehr, außer auf meinem Mobile.

Apple iCloud ohne Plugin einbinden

Nun laß ich, dass man ohne Plugins auch Apples Kalender einbinden kann. Ursprünglich kam das wohl aus dem Lightning-Projekt, wo auch Sun einst federführend das Plugin mitgestaltete, um sich in andere Mail-Ökosysteme, wie Outlook/Exchange oder iCal, zu integrieren.

Erstaunlich wie einfach das ging. Die Anleitung (ich habe nicht das YouTube-Video angesehen) ist sehr simpel.

Warum Thunderbird?

Ich benutze gerne die DKIM-Erkennung (DomainKeys Identified Mail) in Thunderbird (Plugin), um SPAM und Phising sehr schnell erkennnen zu können und natürlich PGP-Verschlüsselung, die sehr gut in Thunderbird integriert ist.

Wer also bisher Thunderbird nicht eingesetzt hat, weil die Apple-Welt anscheinend nicht erschließbar war, hat nun zwei Gründe weniger, sich dagegen zu sträuben, denn: Das MacOSX Adressbuch gibt es schon lange als native Integration und durch obige Unterstützlung kann man auch das iCloud-Adressbuch einbinden.

Endian Update 6.5.5

Die Firewall-Software Endian wurde vom gleichnamigen Hersteller auf 6.5.5 akualisiert (Release Notes). 409 Pakete werden beim Aktualisieren von der Vorgängerversion aktualisiert.

Jahresendcyber in Bielefeld

Jahresendcyber - Workshops Talks und gute Laune am 27.+28.12.2022 in Bielefeld bei digitalcourage

Da der CCC ja leider ausfällt und zu regionalen Veranstaltungen aufgerufen hatte, musste Ersatz her, dachten sich die Privatsphären-Schützer.innen und Netzaktivist.innen von digitalcourage und nun treffen sich halt die Häcksen und Hacker in Bielefeld.

Digitalcourage lädt zum Jahresendcyber ein: am 27.–28. Dezember öffnen sie ihre Studioräume in der Marktstraße 26, Bielefeld. Es wird ein Programm aus Vorträgen, Talk-Runden, Workshops und Aktionen geboten. Es soll geredet, gelernt, mit Technik experimentiert und über Politik reflektiert werden.

UPDATE: Es fiel krankheitsbedingt leider aus, aber über FireShonks (siehe unten) sind einige Veranstaltungen gelaufen, die man auch nachträglich noch abrufen kann.

Einige Events können, dank der R3S-Crew, außerdem auf dem Kanal der FireShonks gesendet werden.

Dropbox kauft Boxcryptor

Es gibt manchmal Nachrichten, die ich nicht lesen möchte. Secomba, Hersteller von Boxcryptor und deren CEO Andrea Pfundmeier, galt immer mein Respekt, da sie eine sehr einfach zu bedienende, über Anbietergrenzen hinweg nutzbare und aus Deutschland stammende Verschlüsselungslösung für die Cloud angeboten haben.

Leider wurde das „geistige Eigentum“, die IP, nun an DropBox, Inc. (USA) verkauft. Auch wenn ich als Kunde bei der Secomba verbleibe, so können andere nicht mehr direkt mit dem europäischen Verschlüsselungsanbieter arbeiten, da Neuverträge sicherlich nur noch mit der US-amerikanischen Mutter gemacht werden können. Was das heißt, muss ich nicht beschreiben: Die „Drei-Buchstaben-Organisationen“ haben Zugriff auf das was bei DropBox, Inc. abgehen wird und Hintertüren dürften vorrangig das Ziel der US-Behörden sein.

Nun wäre es wieder an der Zeit nach Alternativen zu suchen. Weihnachten geht es nun los: Cryptomator verspricht selbiges wie Boxcryptor und ist zudem OSS (open source software).

SheHacksPurple Security-Kurse durch Bright-Übernahme kostenfrei

Buchcover Alice & Vob learn Application Security — Buchcover Alice & Bob learn Application Security

Tanya Janca (She hacks purple) hat ihre Firma “We hack purple” an Bright verkauft, einem Hersteller eines SAST-Tools. Das wäre nun nichts so tolles, aber ihre Kurse, wie man Application Security angeht, sind nun KOSTENFREI und kosteten vorher mehrere hundert Dollar/Kurs! (Quelle)

Tanyas Buch „Alice & Bob learn Application Security“ (Wiley) hilft sehr gut in das Thema Application Security einzutauchen, daher sind ihre Kurse ebenfalls für Einsteiger gut geeignet.

https://community.wehackpurple.com/

nzyme – WiFi Defense System

Das drahtlose Netzwerk in unserem Haus wird von mir immer als unsicher angesehen, da ich der „Sicherheit“ dieser Art der Datenübertragung grundsätzlich mistraue. Wer einmal gesehen hat, wie leicht man sich mittels einiger kleiner Werkzeuge Zugang zum WLAN des Nachbarn verschaffen kann, der weiß was ich meine. Selbst der Standard WPA3 hat nichts daran geändert.

Nun habe ich zumindest mal nzyme installiert, was nun sich noch etwas justieren muss, aber dazu dient, damit man potenzielle Angriffsversuche von außen auf das WLAN angezeigt bekommt. Es ist ein Wifi-Intrusion-Detection-System (WIDS) als Ergänzung zu meiner UTM Appliance (Unified Threat Management), welches diese Services alles abdeckt: Internet-Gateway, Firewall, Virtual Private Network (VPN) Gateway, Virus Protection, Intrusion Detection System, Contentfilter, Spam Protection, Endpoint Protection, Surf Protection, Authentifizierung, Quality of Service (QoS) und Reporting.

Bei mir ist alles wichtige gekabelt und hinter der UTM. Der NAS (Network Attached Storage) und DSL-Zugang sind nicht von außen erreichbar und alles an Zusatzprodukten ist abgeschaltet, schon immer. So empfiehlt es auch die c’t in ihrem Heftchen c’t Security Tipps, woher ich auch die Anleitung genommen habe – und funzt einwandfrei.

Ich werde über meine Erfahrungen berichten. Bei mir läuft es auf einem Raspberry Pi 4 (wo schon Pi-Hole und Flightradar24 drauf laufen). Die Antenne ist eine Alfa AWUS036H mit Realtek RTL 8187L-Chipsatz.

Pegasus? Bist Du da?

Um mal zu prüfen, ob jemand an meinen iPhone-Daten Interesse hatte, habe ich meinen Apple Silicon mal angeworfen, um das Mobile Verification Toolkit, kurz mvt zu installieren… Sollte pegasus mal hier gewesen sein, könnte es Spuren hinterlassen haben.

Nein, ich jailbreake mein iPhone nicht, sondern nutze ein lokales Backup. Das Sicherheitssystem von Apple finde ich per se besser als der Mist, der sonst so am Markt ist. Einer der Gründe, warum ich auch jedem rate keine Virenscanner auf macOS zu nutzen, sondern andere Abwehrmechanismen, die deutlich besser zum Betriebsystem passen.
Das ist aber ’ne andere Geschichte…

Hier die Schritte:

brew install python3 libusb
cd <entwicklungsprojekte>
git clone https://github.com/mvt-project/mvt.git
cd mvt
pip install --upgrade pip --user
pip install nose
pip install matplotlib
# Rust installieren
curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
# immer noch in <entwicklungsprojekte>/mvt installiert man nun 
pip3 install .
# um sein Gerät am USB auszulesen
brew install --HEAD libimobiledevice
# test
ideviceinfo
# LOKALES Backup über den Finder anwerfen
# RTFM https://mvt.readthedocs.io/en/latest/ios/backup/itunes.html
mvt-ios decrypt-backup -p password -d /irgendwo/wo/platz/ist  
~/Library/Application Support/MobileSync/<Tolle-Nummernfolge>
# danach sieht man hübsche Kommandoantworten wie in 'tollen' Hacker-Filmen (siehe Beitragsbild)
# Analyse Files in STIX2-Format von Amnesty
git clone https://github.com/AmnestyTech/investigations.git
mvt-ios check-backup -i <entwicklungsprojekte>/investigations/2021-07-18_nso/pegasus.stix2 --output /output/wo/platz/ist /irgendwo/wo/platz/ist

Lt. HEISE muss man sich nur Sorgen machen, wenn ein WARNING mit Hinweisen auf Pegasus im letzten Schritt angezeigt werden würde. Die timeline.csv offenbart so manches altes Schätzchen… sehr spannend was man so die JAHRE über gemacht hat… und das das alles aufbewahrt wurde.

Endian UTM Mini 25 Firewall

Ich hatte mir schon länger überlegt, neben der obligatorischen Firewall im DSL-Router, eine ‚wirkliche‘ Firewall vor meinen Switch zu hängen, da das Vertrauen immer weiter sinkt (siehe Cyberattacke 2016).

CISCO (Breach 2020) und auch Zyxel (letztere mochte ich noch nie und Backdoors sind auch eine ganz tolle Idee) kamen nicht infrage und da bekam ich die Empfehlung einer Endian Firewall:

Endian Firewall Community präsentiert sich als schlüsselfertige, Linux-basierte Sicherheits-Software für den Heimbereich sowie für kleine Netzwerke. Wirft man allerdings einen Blick in die Foren, so sieht man, dass die Firewall durchaus auch in größeren Netzwerken zum Einsatz kommt. Mit EFW lässt sich jede Hardware-Appliance in eine vollwertige Unified-Threat-Management-Lösung (UTM) verwandeln. Mittlerweile verzeichnet die Firewall über 2 Millionen Downloads weltweit.

Quelle: Linux Magazin 5/2021, besucht 30.5.2021

Ich habe das kleine Stück schon im November 2020 erworben, also eine Variante mit Appliance und Support (ich bin in solchen Dingen nicht mehr so fit wie vor 20 Jahren und brauche Support :-). Leider störte mich an der UTM Mini 25 der Lüfter und habe ihn einfach abgeklemmt. Danach habe ich die Luftzirkulation verändert, indem ich neben dem Kühlkörper des Prozessors Löcher hineingebohrt habe (ja, das Gerät ist niegelnagelneu, mir egal, ich hasse Lüftergeräusche :-)). So wird die warme Luft über dem Kühlkörper von alleine abgegeben. Frage auch an den Distributor (der den Hersteller kennt), warum man die alte UTM Mini 25 ohne und die neue mit Lüfter ausliefert…. Small Office Home Office (SoHo) ist ja deren Zielmarkt und das stehen die Dinger nicht im Rechenzentrum.

Ansonsten muss man sich an das Linux-typische „geht-sieht-aber-langweilig-aus“ als verwöhnter NeXT/Apple-User etwas gewöhnen, aber die Firewall kann alles, hat alles was man braucht und alles was mir an Verbesserungen auffällt gebe ich auch dem Hersteller zurück, denn es wäre schön, wenn eine auf open source basierende Variante von digitaler Selbstverteidigung auch weiterhin gute Appliances liefert.

gute Supportreaktionszeiten seitens des Herstellers
gute, wenn auch verstreute Hilfen (Community + Manual) bei Portfreigaben für MS Teams, Skype, Zoom, WhatsApp & Co.
etwas umständliche Snort-Regelsuche, sie man aber per SSH selbst machen kann – bspw. um die Regel von DropBox zu finden und in den emerging-policy.rules an der Web-Oberfläche abzuschalten. Schön wäre es, es direkt bei der Regelsuche in der Web-Oberfläche suchbar zu machen, aber dort kann man nur die .rules selber suchen.
```
grep -rnw '/var/signatures/snort' -e '2012647'
```
Gute Live-Logs und die Möglichkeit eigenen OpenVPN direkt dort zu konfigurieren.
Wenn man ein CISCO-kompatibles USB-C<->RJ45-Kabel verwendet, hat man direkten Zugriff auf die Konsole und kann, wenn man so blöd ist, wie ich, und sich die Software zerschießt, mittels USB-Stick die Software direkt wieder drauf pflanzen – auch da hatte der Support schnell und umfassend Hilfe.

Fazit

Trotz ruckeligem Start habe ich nach einiger Zeit und einigen Tests, sowie Modifikationen, die kleine Unified-Threat-Management-Lösung lieb gewonnen und seit heute ist sie von der Testphase in die Live-Phase gewechselt.

Technisches Datenblatt (Endian), besucht 30.5.2021

c’t Sonderheft Daten Schützen: Vertrackt – Wie Google das Leben von Milliarden Menschen erfasst

Eine, wie ich finde, sehr schöne Lektüre, damit nicht jemand sagen kann, sie/er habe nichts gewusst. Doch! Wir wissen es! Wir benutzen es! Und weil es so schön einfach ist, verlinke ich den Artikel mal via Google Books, einfach mal so….

Ach ja, da war noch was: Ich habe der c’t mal geschrieben, ob die das so toll finden, dass 35 von 161 Seiten (22%, nicht ganz, aber fasst 1/4) durchgängig als Probe zu lesen sind!?